به نظر میرسد Ransomware در حال طی کردن یک روند نگران کننده می باشد. مجرمان تازه کار با کمی دانش فنی و نرم افزار های ارزان میتوانند مبالغ بزرگی دریافت کنند و شرکت های بزرگ را تحت تاثیر قرار دهند. در این مقاله شما با روند رشد و تغییر ransomware ها آشنا می شوید.
Ransomware، پنجمین بدافزار رایج میباشد که طبق گفته MWR InfoSecurity انتظار میرود در سال جاری 300 درصد افزایش یابد.
Ransomware به عنوان یک سرویس RaaS و با رنگ و لعاب کاربرپسند به رشد این پدیده کمک کرده است. RaaS، بوسیله ایجاد جذابیت برای کاربر باعث میشود جرایم اینترنتی بیشتر قابل دسترسی باشند. مجرمان سایبری پیشرفته، کد مخرب را ایجاد میکنند و به صورت رایگان یا با هزینه بسیار کم آنرا انتشار میدهد. مجرمان تازه کار، با استفاده از این کدهای مخرب کم هزینه، ransomware تولید میکنند و میتوانند پس اندازهای هزاران نفر را تقریبا بدون مهارت های برنامه نویسی غارت کنند.
با توجه به حملات اخیر به چندین بیمارستان و شبکه های بهداشتی که به پرداخت هزینه های هنگفتی برای بازیابی فایلهای مهم منجر شد، مجرمان سایبری دریافتند که گروگان نگه داشتن اطلاعات اغلب سودمندتر از سرقت آنها و فروش در بازار سیاه میباشد.
انواع Ransomware های شناسایی شده و تکنیک های مورد استفاده آنها:
Fatboy: این بد افزار که در اوایل تابستان توسط یک انجمن مجرمانه سایبری در روسیه منتشره شده است، به دزد اجازه میدهد تا مقدار پول واریزی را بر اساس موقعیت زندگی قربانیان تغییر دهد. یعنی کسانی که در مناطق با هزینه های بالاتر زندگی میکنند بر اساس یک جدول تعیین شده از مکان های مختلف جهان، باید هزینه بالاتری جهت رمزگشایی پرداخت نمایند.
این بدافزار از طریق سرویس Jabber پیامهای فوری ارسال میکند. این ویژگی یکی از علت های مهم آمار رشد وحشتناک Fatboy میباشد. در طی چند ماه اول ، نویسنده Fatboy RaaS به احتمال زیاد حداقل 5321 دلار بدست اورده است. همانند بسیاری دیگر از ابزارهای RaaS، مهاجمان بلافاصله سهم خود را از هزینه های جمع آوری شده به برنامه نویس پرداخت میکنند.
Ovidly Stealer: این ابزار برای سرقت اعتبارهای کاربر طراحی شده است. این بدافزار به طور عمده مرورگرهای وب را مورد هدف قرار میدهد و در انجمن های روسی زبان به قیمت 7 دلار به به فروش میرسد. در حالی که اکثر ابزارهای RaaS عمومی میباشند، به نظر میرسد این ابزار برای یک مخاطب روسی طراحی شده باشد که خود ایده نوآورانه ای میباشد. از دیگر ویژگی های آن میتوان به ابراز رضایت مهاجمان از این بدافزار و گزینه های متنوع برای خرید آن اشاره کرد.
Hackshit: این بدافزار از phishing استفاده میکند و مشتریان خود را بوسیله ساخت اکانت رایگان و مشاوره های هک و در آمد آسان جذب میکند. این وبسایت شامل دستورالعمل های درونی، آموزش های رایگان ، پشتیبانی بوسیله چت، بخش نظرات و تولید کننده و لینک ها و… میباشد. قیمت آن نیز از 40 دلار در هفته شروع میگردد.
Cerber: این RaaS در ماه دسامبر 2016 و ژانویه 2017، 25 درصد از کل فعالیتهای Ransomware ها را به خود اختصاص داد و میلیون ها دلار برای مجرمان درآمد زایی کرد. مالک آن 40 درصد از درآمد ها را از مجرمان دریافت میکند. ویژگی اصلی Cerber این است که به صورت آفلاین کار میکند بنابراین حتی اگر دستگاه آلوده را قطع کنید، دیگر خیلی دیر شده است.
Philadelphia: این ابزار بدون پایگاه داده کار میکند بنابراین مجرمان مجبور نیستند که سرور اختصاصی جهت جمع اوری اطلاعات قربانیان تهیه نمایند. کاربران آن میتوانند طیف گسترده ای از انواع فایل ها را مورد هدف قرار دهند.
Satan: این بدافزار سرویس های اضافی همچون ردیابی پیشرفت برای هرکاربر در پرداخت های قربانیان را ارائه میدهد. این ابزار همچنین کدهای خود را رمزگذاری میکندو شامل بسیاری از تکنیک های ضد اشکال زدایی و ضد تجزیه و تحلیل است که اجازه تحلیل کد برنامه را بسیار دشوارمیکند. صاحب بد افزار 30 درصد از برداشت ها را جمع آوری میکند. طبق گفته تحلیل گران Cylance اسکریپت های Kiddies با قابلیتهای فنی محدود خود به آسانی بازهم قادر به انتشار نرم افزارهای مخرب برای کسب درامد میباشند. نوآوری اصلی این بد افزار افزودن رابط گرافیکی مبتنی بر وب بود.
Hostman: بعضی از ابزارهای RaaS نیازی به پرداخت درصد به صاحب بد افزار را ندارند و میتوانند در همان ابتدا آنها را خریداری نمود مانند Hostman که هزینه آن نیز 50 دلار میباشد. همچنین این بدافزار به صورت خودکار رمگذاری میکند بنابراین مجرم مجبور نیست نگران ارائه کلید رمزگشایی پس از پرداخت قربانی باشد.
Karmen: این ابزار با کمی تفاوت شباهت زیادی به Satan دارد، زیرا با استفاده از پنل کنترل مبتنی بر وب و هاست برروی Dark web داشبورد گرافیکی کاربند پسندی را ارائه میدهد و این اجازه را میدهد تا صفحه خود را شخصی سازی کنند. این ابزار بر اساس ransomware متن باز abandoned ساخته شده است و بوسیله Hidden tear در مقابل آنالیز امن شده است. به مانند Satan از تکنیک های ضد ردیابی استفاده میکند و اگر محیط Sandbox یا نرم افزارهای تجزیه و تحلیل برروی سیستم قربانی نصب شده باشد به صورت خودکار رمزگشاها را حذف می نماید . همچنین دارای داشبوردی میباشد که به خریداران اجازه میدهد تعداد دفعات تزریق بد افزار و میزان سود کسب شده را به صورت بلادرنگ مشاهده نمایند. این بدافزار در انجمن های Dark Web توسط یک هکر روسی زبان به نام DevBitox به قیمت 175 دلار فروخته میشود. برای استفاده از آن ، ویدئوی آموزشی در YouTube نیز همراه آن میباشد و صد در صد سود به مهاجم میرسید چون در ابتدا مبلغ آنرا پرداخته و کامل خریداری کرده است.
به طور معمول استفاده کنندگان این نرم افزارهای مخرب دو سوم در آمد را کسب میکنند و یک سوم به نویسنده اصلی بدافزار اختصاص میابد.
در مقاله بعدی نیز به راههای مقابله با این پدیده وحشتناک میپردازیم.